Descripción
No se encontraron tokens Anti-CSRF en formulario de envío HTML.
Una solicutud falsa entre sitios en un ataque que compromete y obliga a una víctima a
enviar su solicitud HTTP a un destino objetivo sin su conocimiento o intención para poder
realizar una acción como víctima. La causa oculta es la funcionalidad de la aplicación
utilizando acciones de URL/formulario que pueden ser adivinados de forma repetible. La
naturaleza del ataque es que CSRG explota la confianza que un sitio web proporciona a
un usuario. Por el contrario, las cadenas de comandos de los sitios cruzados (XSS)
explotan la confianza que un usuario proporciona en un sitio web. Al igual que XSS, los
ataques CSRG no son de forma necesaria de sitios cruzados, pero hay la posibilidad de
que si pueden serlo. La falsificación de las solicitudes ente los sitios también se conoce
como CSRF, XSRG, ataques con un solo clic, montaje de sesión, diputado confundido y
navegación en alta mar.
Los ataques de CSRG son muy efectivos en varias situaciones, que incluyen:
*La victima tiene una sesión activa en el sitio de destino.
*La víctima se autoriza por medio de la autenticación HTTP en el sitio de destino.
*La víctima se encuentra en la misma red local que el sitio de destino.
CSRF se ha utilizado especialmente para poder realizar una acción contra un sitio
objetivo utilizando los privilegios de la víctima, pero se han revelado técnicas recientes
para difundir información al obtener el acceso a la respuesta. El riesgo de divulgación de
información aumenta de forma drástica cuando el sitio de destino se encuentra
vulnerable a XSS, porque XSS se puede utilizar como una plataforma para CSRF, lo que
le permite al atacante que opere desde adentro de los líites de la misma política de
origen.
URL https://lauranotfound.pythonanywhere.com/administrativo/grupohorario/?q=ZAP
Método GET
Ataque
Evidencia <form action="https://dpaste.com/" name="pasteform" id="pasteform" method="post">
Otra
información
No se ha encontrado ningún token Anti-CSRF [anticsrf, CSRFToken,
__RequestVerificationToken, csrfmiddlewaretoken, authenticity_token,
OWASP_CSRFTOKEN, anoncsrf, csrf_token, _csrf, _csrfSecret, __csrf_magic, CSRF,
_token, _csrf_token, _csrfToken] conocido en el siguiente formulario HTML: [Form 1:
"language" "poster" "source" "title" ].
URL https://lauranotfound.pythonanywhere.com/escuela/cursohorasdictado/?q=ZAP
Método GET
Ataque
Evidencia <form action="https://dpaste.com/" name="pasteform" id="pasteform" method="post">
Otra
información
No se ha encontrado ningún token Anti-CSRF [anticsrf, CSRFToken,
__RequestVerificationToken, csrfmiddlewaretoken, authenticity_token,
OWASP_CSRFTOKEN, anoncsrf, csrf_token, _csrf, _csrfSecret, __csrf_magic, CSRF,
_token, _csrf_token, _csrfToken] conocido en el siguiente formulario HTML: [Form 1:
"language" "poster" "source" "title" ].
URL https://lauranotfound.pythonanywhere.com/escuela/cursoprerequisito/?q=ZAP
Método GET
Ataque
Evidencia <form action="https://dpaste.com/" name="pasteform" id="pasteform" method="post">
Otra
información
No se ha encontrado ningún token Anti-CSRF [anticsrf, CSRFToken,
__RequestVerificationToken, csrfmiddlewaretoken, authenticity_token,
OWASP_CSRFTOKEN, anoncsrf, csrf_token, _csrf, _csrfSecret, __csrf_magic, CSRF,
_token, _csrf_token, _csrfToken] conocido en el siguiente formulario HTML: [Form 1:
"language" "poster" "source" "title" ].
Instancia 3